- Le cryptage de mon dossier personnel rend-il mon ordinateur plus sûr ?
- Dois-je saisir davantage mon mot de passe si mon dossier personnel est crypté ?
- Que dois-je savoir d'autre sur le cryptage de mon dossier personnel ?
Réponses
Trop de publicités?
Tout simplement
- Le cryptage de votre dossier personnel ne rend pas votre ordinateur plus sûr. Il rend simplement tous les fichiers et dossiers de votre dossier personnel plus sûrs et les protège contre une consultation non autorisée.
- Votre ordinateur est toujours "vulnérable" du point de vue de la sécurité, mais il devient très difficile de voler votre contenu (à moins que l'attaquant ne dispose de votre mot de passe).
- Vous n'aurez pas besoin de saisir votre mot de passe plus que vous ne le faites normalement - lorsque vous vous connectez à votre ordinateur, vos fichiers sont décryptés de manière transparente pour votre seule session.
- Il est possible (en fonction du matériel de votre ordinateur) que cela affecte les performances de votre machine. Si vous êtes plus préoccupé par les performances que par la sécurité (et si vous disposez d'une machine plus ancienne), vous pouvez désactiver cette fonction.
Techniquement
Ubuntu utilise "eCryptfs" qui stocke toutes les données d'un répertoire (dans ce cas les dossiers personnels) sous forme de données cryptées. Lorsqu'un utilisateur est connecté, ce dossier crypté est monté avec un second montage de décryptage (il s'agit d'un montage temporaire qui fonctionne de manière similaire à tmpfs - il est créé et exécuté en RAM afin que les fichiers ne soient jamais stockés dans un état décrypté sur le disque dur). L'idée est la suivante : si votre disque dur est volé et que son contenu est lu, ces éléments ne pourront pas être lus puisque Linux doit être exécuté avec votre authentification pour créer le montage et le décryptage réussis (les clés sont des données cryptées SHA-512 basées sur plusieurs aspects de l'utilisateur - les clés sont ensuite stockées dans votre porte-clés crypté). Le résultat final est des données techniquement sécurisées (tant que votre mot de passe n'est pas craqué ou divulgué).
Vous n'aurez pas à saisir votre mot de passe plus souvent que d'habitude. Il y a une légère augmentation de l'E/S du disque et du processeur qui (selon les spécifications de votre ordinateur) peut nuire aux performances - bien que ce soit tout à fait transparent sur la plupart des PC modernes.
Ryan Ahearn
Points
3829
Il y a un bel article sur le sujet écrit par le développeur d'Ubuntu lui-même, veuillez voir : http://www.linux-mag.com/id/7568/1/
Résumé :
-
Une combinaison de LUKS et de dm-crypt est utilisée pour le chiffrement des disques entiers sous Linux. Ubuntu utilise le système de fichiers cryptographiques d'entreprise (ECryptfs) à partir de la version >= 9.10 pour activer le cryptage du disque dur personnel à la connexion.
-
Un répertoire supérieur et un répertoire inférieur sont créés, où le répertoire supérieur est stocké en clair dans la RAM, donnant accès au système et à l'utilisateur actuel. Le répertoire inférieur reçoit des unités atomiques et cryptées de données et est stocké dans la mémoire physique.
-
Les noms de fichiers et de répertoires utilisent une seule fnek (clé de cryptage des noms de fichiers) à l'échelle du montage. L'en-tête de chaque fichier crypté contient un fek (clé de cryptage du fichier), enveloppé d'un fekek (clé de cryptage du fichier, clé de cryptage) distinct, à l'échelle du montage. Le trousseau de clés du noyau Linux gère les clés et fournit le chiffrement via ses chiffres courants.
-
L'utilisation d'un PAM (Pluggable Authentication Module) d'eCryptfs n'empêche pas les redémarrages sans surveillance, contrairement aux solutions typiques de cryptage de disque complet.
-
Le système de fichiers en couches eCryptfs permet d'effectuer des sauvegardes incrémentielles chiffrées par fichier.
Jan
Points
3433
Réponse moins technique comme demandé par le PO.
Avantages en matière de sécurité d'une maison cryptée via ecryptfs comme dans Ubuntu :
- Ne nécessitera aucun mot de passe ou clé supplémentaire à mémoriser ou à saisir.
- Ne rend pas votre ordinateur plus sûr sur un réseau, par exemple sur l'internet.
- Si l'ordinateur est partagé entre plusieurs utilisateurs, il constitue une barrière supplémentaire contre l'accès des autres utilisateurs à vos fichiers. (Discussion technique difficile).
- Si un attaquant obtient un accès physique à votre ordinateur, par exemple en volant votre ordinateur portable, vos données seront protégées contre toute lecture par le voleur. (Si l'ordinateur est éteint, il ne pourra pas lire vos données sans votre mot de passe. Si l'ordinateur est allumé et que vous êtes connecté, il est possible pour un voleur de dérober vos données, mais cela nécessite une attaque plus avancée, c'est donc moins probable).
Neil Vandermeiden
Points
61
Ce que vous devez également savoir sur le cryptage de votre dossier personnel, c'est que les données qu'il contient ne sont pas accessibles lorsque vous n'êtes pas connecté. Si vous avez un processus automatisé ou externe (comme une crontab) qui tente d'accéder à ces données, il fonctionnera parfaitement pendant que vous le regardez, mais échouera lorsque vous ne le regarderez pas. C'est très frustrant à déboguer.
Liedman
Points
3144
